Terminal Services-管理員最好的工具﹗[更新﹕11/12/2006]

goolb78

第一篇﹕簡介


什麼是Terminal Services?

試想象﹐你是公司的網絡管理員(Administrator),你有很多Servers(伺服器)需要管理﹐有在局域網(Local Area Network)的Server,也有遠在外地的伺服器(Remote Server)﹐那麼你要有效管理所有的Servers,又要監督其操作環境﹐通過GPO(Group Policy Object)實行新的設定﹐管理共享文件(Shared Document)等等。你必須要親自到有關Server的主機面前進行操作﹐這樣不是很麻煩﹐費時?況且有時遙遠的距離如遠在外地的Server更使到有效地管理不簡單。又一個情況﹐你的使用者需要使用Remote Server裡的應用程式(Applications),而該程式卻不能支持Remote Connection,而這個需求卻是使用者強烈需要的。種種限定﹐說明了距離(Distance)和聯繫(Connectivity)是Administrator所面對使用者需要(User Needs)的棘手問題。

解決這個問題的方法之一就是Terminal Services。

顧名思義﹐Terminal Services是使用RDP(Remote Desktop Protocol),其目的是容許被批准的使用者(Authorized Users,這裡不只是管理員﹐也包括使用者(End Users)),登錄(通過LAN, WAN(Internet)),進行管理系統﹐執行應用程式(Applications)。Terminal Services這個概念早已經有執行在Unix系統﹐當時的使用者是通過Terminal(終端機)﹐執行應用程式和列印報告。在Windows系統中﹐它開始出現在NT4 Terminal Server Edition,並在Windows 2000系列系統已經內建﹐在Windows XP Professional也有﹐本文將焦點放在Windows Server 2003的Terminal Services。

使用Terminal Services的好處﹕
1。管理員可隨時﹐隨地可以通過LAN﹐Internet來管理Server或其他支援Terminal Services的電腦。

2。使用者可以在遠端的Server執行應用程序﹐編輯(Edit)和儲存(Save)並將資料列印到列印機(Local Printer)﹐這也稱之為Terminal Services Printing。

3。有些程式不支援Remote Connection,可是使用者還是需要使用它﹐或是該程式還在使用中期限﹐Remote User需要管轄該程式。舉個列子﹐UBS Accounting安裝在Server A, Server B(距離Server A遙遠﹐唯一的聯繫方式是Internet), User C是Server B的Domain User,她可以使用Terminal Services聯繫到UBS Accounting(Server A),同時容許更改其內容﹐編輯報告﹐審查賬目﹐而不需要親自到Server A的局域網來登錄檢查。UBS Accounting系列本身不支持Remote Connection。

4。Terminal Services的運算能力關鍵在Server,使用著的電腦不需要強大運算能力。Terminal Services User其實就是一種Thin Client.

系統配備﹕

Brand: Dell PowerEdge 700
CPU: Intel Pentium 4E 2.8Ghz with HT Enabled
RAM: 2x512MB Dual Channel ECC DDR400，  Total: 1.0GB RAM
Harddisk: Maxtor 6Y080M0 with 8MB Cache X2 (Running as RAID1)
OS : Windows Server 2003 SP1 Standard Edition

Network Services installed:
Active Directory/Domain Controller: Yes, running
DNS Server: Yes, running
DHCP Server: Yes, running
Application Server/IIS: Yes, running WSUS Port:8530
File Server: Yes, running
Terminal Server: Yes, running, Port:3389
Remote Access/VPN Server: Yes, running
WINS Server: Yes, running
Apache Web Proxy Server: Yes, running Port:8080




系統需求﹕
OS: Windows 2000 Professional SP4/XP Professional SP2(只支援Administrator Login和Single Connection Login)*
OS: Windows 2000 Server SP4/Windows Server 2003 SP1(支援Administrator和User Logins,也支持Multiple Connections Login)**

* Single Connection Login只容許一個使用者登錄﹐超過了這個使用者﹐那麼該現有使用者將被迫Logoff
** Multiple Connections Login容許Administrator和Users同時登錄和使用﹐並支持安全措施(Permission和Security)。需要Terminal Services CAL。

Required Network Service:
1。Active Directory/Domain Controller-用來執行GPO管理Terminal Services設定﹐這只在Windows 2000 Server/Windows Server 2003才有的功能。

License: Terminal Services CAL(Client Access License),根據你的使用者人數來購買﹐1個Pack最少5個使用者。Administrator不在CAL的計算範圍內﹐不過只限定一個Administrator。

下載﹕
Server需要軟體﹕沒有

Client需要軟體﹕-
軟體﹕Remote Desktop Connection*
網址﹕http://www.microsoft.com/downloads/details.aspx?familyid=80111f21-d48d-426e-96c2-08aa2bd23a49&displaylang=en
大小﹕3.4MB
版本﹕6.0.2600.0
費用﹕免費

*Remote Desktop Connection已經內建在Windows XP Professioanal SP2裡﹐建議使用這個版本。如果你的系統不屬於Windows XP Professional SP2,請下載安裝。

注意事項﹕
1。IP Address-Fixed IP Address是非常重要的事項。在局域網裡﹐Server一般上都有固定的IP Address。這也就是LAN IP Address。如果你要Server能回應Remote Connection(非本局域網)﹐那麼你需要Fixed WAN IP Address。雖然有其他方法可以使用Dynamic IP Address來使用Terminal Services,但是其穩定性有待改善。筆者強烈建議Fixed WAN IP Address。

2。系統的安全措施(Security Measures)必須加強﹐強烈建議使用Strong Password來登錄。所有Terminal Services設定需要小心編輯。

3。不是所有的Printer都支持Terminal Service Printing,建議支援PCL 5的Printer來列印。筆者曾經有過得經驗﹐所有Canon Printer(如果沒有安裝Network Accessories)是不能使用Terminal Services Printing。

4。Terminal Services需要Port 3389﹐請檢查現有的Firewall/Router不要關閉這個Port。不然的話Terminal Services就沒法操作。

[ 本帖最后由 goolb78 于 11-12-2006 07:09 PM 编辑 ]

goolb78

第二篇﹕安裝Terminal Server和編緝設定[Server Side]

1。安裝Terminal Server:
1。Start -> Manage Your Server

2。Add or remove a role


3。按"Next"


4。選擇Terminal Server,然後按“Next"繼續。

5。安裝程式會安裝所有需要的文件和提醒你需要從新啟動Server。關閉所有的程式﹐然後按"OK"繼續。


6.重新啟動Server後﹐你會看到通知有關Server已經有Terminal Server的能力。按"Finish"。


*注意﹕有關的Terminal Server容許沒有Licence的Clients(除了Administrator)使用長達120天﹐如果你在這之後沒有購買License,那麼Terminal Server就會停止接受Client的聯繫。

2。安裝License
1。Start -> Control Panel -> Add or Remove Programs

2。Add or remove Windows Components,選擇安裝Terminal Server Licensing


3。當你安裝了Terminal Server Licensing,你需要Activate Server﹐如圖下﹕

填寫你的License內容﹐然後按"Finish"。

3。編輯Terminal Server設定
1。Start-> Administrative Tools -> Terminal Service Configuration

2。按照圖下﹐選擇Properties


3。更改以下的設定。

Environment:選擇Run initial program specified by user profile and Remote Desktop Connection or Terminal Services Client.


Client Settings:
-Use connection settings from user settings
-Limit Maximum Color Depth : 16bit
-Disabled the following: Audio Mapping


Permissions:
Administrator: Full access, User Access, Guest Access


Permissions:
Remote Desktop Users:User Access, Guest Access

4。編輯Domain Security Policy設定
1。Start -> Administrative Tools -> Domain Security Policy

2。Local Policies -> User Rights Assignment


編輯Allow log on through Terminal Services:加入Administrators和Remote Desktop Users。如果你忽略這個步驟﹐那麼沒有任何的使用者可以使用Terminal Services。

5。編輯System Properties設定
1。 Start -> Control Panel -> System

Remote: Enable Remote Desktop on this computer

6。編輯User Profile設定
1。Start -> Administrative Tools -> Active Directory Users and Computers

2。選擇你要讓現有使用者使用Terminal Services,你也可以新增使用者。

Member of:加入Remote Desktop Users這個權限給這個使用者﹐那麼這個使用者就可以使用Terminal Services。


不要讓使用者可以自由使用Server的程式﹐限定她只可以使用特定的程式。如果她關閉該程式﹐Server就會自動將該使用者logout。這是安全問題﹐必須多加注意。

[ 本帖最后由 goolb78 于 11-4-2006 07:55 PM 编辑 ]

goolb78

第三篇﹕使用Remote Desktop Connection進行聯繫[Client Side]

1。Windows XP: Start -> All Programs -> Accessories -> Communications -> Remote Desktop Connection


2。選擇Options

Experience:使用Modem 56Kbps <- 這個速度的Remote Desktop表現比較特出。


Local devices: Disk Drives, Printers, Serial Ports


選擇Remote Desktop Size和顏色素質


選擇使用者名稱﹐密碼和Domain名稱。

Computer:輸入Server IP Address,列如:192。168。0。40或是WAN Address列如:219。94。84。XXX

3。按Connect開始聯繫

4。這是Terminal Server就會回復你的聯繫﹐要求你輸入密碼和使用者名稱。只有正確的密碼和使用者名稱才能准許使用Terminal Services。


注:-

1。如果使用者是Administrator的話﹐那麼使用者就擁有Local Administrator的權限﹐他可以更改系統的所有設定﹐甚至關機和重新啟動Server。所以必須要注意﹐IP Address不可隨意公開讓他人知道﹐不然的話﹐就提高了很多系統被攻擊的機會。

2。如果是使用者是Remote Desktop User,那麼他只能執行Administrator指定的程式而不能作系統的更改﹐當他關閉有關的程式時﹐系統也自動的將他logout。

3。在編輯使用者登錄的名稱和密碼﹐建議使用Strong Password。因為這樣才能減低密碼被破解。

4。為了防止不明使用者嘗試登錄系統﹐我們可以改變Domain Security Policy的Account Lockout Policy中的Account Lockout Threshold。建議值是5個invalid logon attempts。


[完]

[ 本帖最后由 goolb78 于 11-4-2006 08:05 PM 编辑 ]

lesede

每一次都很欣赏、很期待你的作品~~~
谢谢你的分享~~~

提议提升精华~~~

silly_boy1314

想请问一下大大，在windows server 2003里remote desktop和terminal service有什么分别？？

如我没记错，terminal service是需要买License的对吗？而Remote desktop则不需要~

**有错请纠正~

期待大大在下一个文章能介绍Routing and Remote Access

goolb78

原帖由 silly_boy1314 于 12-4-2006 11:02 发表
想请问一下大大，在windows server 2003里remote desktop和terminal service有什么分别？？

如我没记错，terminal service是需要买License的对吗？而Remote desktop则不需要~

**有错请纠正~

...

Remote Desktop MMC Snap-in是讓Administrator容易﹐方便及有系統的同時管理多個Server或Terminal Server。


Remote Desktop Connection一次只能connect一個Terminal Server,這對Administrator來說﹐管理多個Terminal Server不是方便。當然你可以執行很多個Remote Desktop Connection來聯繫不同的Terminal Server。

Terminal Services是一種Services﹐是在系統中常駐和關理所有關於Terminal的聯繫。Remote Desktop Connection是一種Client software,它的目的是通過RDP(Remote Desktop Protocol)聯繫Terminal Server。

超過一個使用者(而使用者不是Administrator),那麼你就需要Terminal Services CAL,本文已經有提到。就好像我說的﹐ Remote Desktop只是軟體﹐真正導致需要Terminal Services CAL的原因是你有多個使用者同時使用Terminal Services。一個Pack的Terminal Services CALs(5個使用者)大約是RM1250。

[ 本帖最后由 goolb78 于 12-4-2006 11:46 AM 编辑 ]

杀人犯

Windows Server 2003 SP1 Standard Edition以外的OS能用吗？？

goolb78

原帖由 杀人犯 于 12-4-2006 16:03 发表
Windows Server 2003 SP1 Standard Edition以外的OS能用吗？？

支持系統﹕

1。Windows XP Professional SP2
2。Windows 2000 Professional SP4
3。Windows Server 2003 SP1
4。Windows 2000 Server SP4

戦零

不錯，每次goolb兄一來就有好東西。
文章中每一個部分都解釋得相當精簡，其質素相當高。
在此加入為精華III和200分做為獎勵。

goolb78

謝謝版主的加分。

一些Remote Desktop的載圖


1。使用Terminal Services重新啟動Server,一種很方便的功能﹐尤其是距離遙遠的Server﹐加上Security Updates﹐通常晚間重新啟動Server是最好的時間﹐所以Terminal Services就是一種特好的工具。


2。使用Terminal Services來執行Microsoft Excel。


3。管理Symantec Antivirus CE的Client和設定。


4。編寫新的GPO來控制Client Computer的設定。


5。在Server執行UBS Stock System。通常都是只有LAN才可以執行的﹐現在通過Internet來使用UBS Stock System。

[ 本帖最后由 goolb78 于 12-4-2006 10:29 PM 编辑 ]

goolb78

Remote Desktop Connection (Terminal Services Client 6.0) for Windows XP (KB925876)

全新版本的Terminal Services Client 6。0已经在28/11/2006推出。它开始支持Credential Logon和支援Windows Longhorn Server 2007[尚未命名]。

下载: http://www.microsoft.com/downloa ... &displaylang=en

什么是Credential Logon? 代表它可以记得你每次登陆Terminal Server的username和password。这样一来可以节省输入密码的步骤，有鉴于次，使用者的登陆Domain Password必须要strong password.

1。


2。


[ 本帖最后由 goolb78 于 11-12-2006 07:15 PM 编辑 ]

nd6897

几年之后才看到这篇文章

但是还是学到了一些。

bclee

回复 1# goolb78

请问如果我要隐藏taskbar的antivirus icon,不要给terminal service user 看到,要在哪里改?